bedeckt München 17°
vgwortpixel

Digitale Privatsphäre:Datenschutz oder Ermittlern helfen: Gewissenskonflikt für Tech-Unternehmen

Wenn Unternehmen Kennwörter im Klartext herausgeben wollen, müssten sie für alle ihre Nutzer die Speicherung der Passwörter unsicherer machen - nicht nur für die verdächtigen. Aus gutem Grund werden Passwörter heute bei allen großen und mittleren IT-Unternehmen mit kryptografischem Schutz auf den Servern der Unternehmen abgelegt. Dieser verhindert, dass Hacker die Passwörter in verwendbarer Form stehlen können, auch wenn sie schon in die Datenbank eingebrochen sind. Dieser kryptografische Schutz kann wenn, dann nur pauschal für alle Nutzer deaktiviert werden, weil die Unternehmen ja nicht wissen können, für wen Strafverfolger einmal ein Passwort anfragen würden. "Ich finde es gesetzgeberisch zutiefst unethisch, zu sagen: Wir schauen einfach mal, welches Netzwerk die Passwörter im Klartext rausgibt und welches nicht", kritisiert Ulf Buermeyer. Sollte das Gesetz kommen, würde seine Organisation GFF prüfen, gegen die Herausgabepflicht Verfassungsbeschwerde einzulegen.

Auch aus der Opposition kommt heftige Kritik an den Plänen des Justizministeriums. Als "Albtraum für die IT-Sicherheit" bezeichnete der FDP-Politiker Konstantin Kuhle die geplante Herausgabepflicht für Passwörter. "Der Kampf für mehr Schutz der Persönlichkeitsrechte im Internet darf nicht zu Lasten des Bedürfnisses nach sicherer und vertraulicher Kommunikation geführt werden", sagte der innenpolitische Sprecher der FDP.

"Es ist gut, dass die Bundesregierung endlich die Taten und Netzwerke des Rechtsextremismus ernsthaft wahrnimmt", sagte die Grünen-Abgeordnete Renate Künast. Sie kritisiert aber, dass mit dem Gesetz gegen Rechtsextremismus und Hasskriminalität Befugnisse eingeführt werden könnten, die die Behörden "immer schon haben wollten, wie zum Beispiel eine anlasslose Vorratsdatenspeicherung und die Ausweitung auf Passworte". Künast ist seit langem Ziel von massiven Anfeindungen und Beleidigungen im Netz und klagt auch vor Gericht dagegen.

Die Anbieter speichern die benötigten Daten bisher gar nicht

Im Zuge der neuen Meldepflicht sollen die Betreiber sozialer Netzwerke nicht nur verpflichtet werden, die IP-Adresse von Nutzern zu übermitteln, deren Beiträge sie gelöscht haben. Sie sollen auch die sogenannte Portnummer herausgeben. Mit dieser Nummer lassen sich verschiedene Dienste identifizieren, die über dieselbe IP-Adresse ablaufen. Hintergrund ist, dass Ermittler mit den neuen Mobilfunkstandards wie LTE oft ein Problem haben. Heute haben oft Hunderte Nutzer dieselbe öffentliche IP-Adresse, obwohl sie jeweils ein eigenes Gerät benutzen. Das liegt unter anderem daran, dass Mobilfunkprovider ihren Kunden geteilte öffentliche IP-Adressen zuweisen, weil die Adressen in dem heute am meisten verbreiteten Format knapp werden. Ein ähnliches Problem haben Ermittler, wenn Nutzer einen von mehreren Nutzern verwendeten Internetzugang wie zum Beispiel im Wifi eines Cafés nutzen. In solchen Fällen soll den Ermittlern die Portnummer helfen.

Wenn die Polizei allerdings eine Portnummer von Facebook, Google und Co bekäme, könnten die Ermittler mit den Ziffern allein immer noch nichts anfangen. Sie müssten jetzt beim Internetanbieter, etwa der Telekom, Vodafone oder O2 anfragen, welche Person hinter der Portnummer steckt. Doch die Provider speichern diese Daten bisher gar nicht. Damit die Meldepflicht, die neu ins NetzDG aufgenommen werden soll, praktisch etwas bringen, müssten die Provider verpflichtet werden, auch die Portnummern zu speichern - und damit viel mehr Daten über ihre Kunden als bisher. So werden zum Beispiel für jede neu aufgerufene Internetseite eine oder sogar mehrere Portnummern pro Nutzer erstellt. Ein Kunde, der einen Tag lang viel surft, kann mehrere Tausend Portnummern generieren.

Ulf Buermeyer warnt davor, auf diesem Umweg eine neue, umfassendere Form der Vorratsdatenspeicherung einzuführen. Er sagt: "Will man wirklich die Daten von allen Nutzern deutschlandweit speichern und bevorraten, um einzelne Online-Straftaten bekämpfen zu können? Aus bürgerrechtlicher Sicht ist die Antwort ganz klar: nein." Die Vorratsdatenspeicherung wurde in Deutschland zwar als Gesetz verabschiedet, wird allerdings wegen verfassungsrechtlicher Bedenken bisher nicht angewandt. Der Europäische Gerichtshof hatte 2016 festgestellt, dass die europäische Richtlinie zur Vorratsdatenspeicherung gegen Grundrechte verstößt. Eine Entscheidung des Europäischen Gerichtshofs zur deutschen Richtlinie wird in einigen Monaten erwartet.

© SZ.de/jbl

Exklusiv
Überwachung
:Gericht zwingt E-Mail-Anbieter, Daten unverschlüsselt herauszugeben

Datenschützer und Polizei streiten darüber, wie geheim Kommunikation sein darf. Der Fall des deutschen Anbieters Tutanota zeigt, wie viel Einblick Ermittler verlangen können.

Von Florian Flade und Max Hoppenstedt

Lesen Sie mehr zum Thema

Zur SZ-Startseite